Начало работы с AWS (часть 5)

Опубликовано: 7 Марта, 2023
Начало работы с AWS (часть 5)

  • Начало работы с AWS (часть 2)
  • Начало работы с AWS (часть 3)
  • Начало работы с AWS (часть 4)
  • Начало работы с AWS (часть 6)
  • Начало работы с AWS (часть 7)
  • Начало работы с AWS (часть 9)
  • Начало работы с AWS (часть 10)
  • Начало работы с AWS (часть 11)
  • Начало работы с AWS (часть 12)
  • Начало работы с AWS (часть 13)
  • Начало работы с AWS (часть 14)

Введение

В предыдущей статье этой серии мы рассмотрели AWS Identity and Access Management (IAM) — веб-сервис, который позволяет создавать пользователей и управлять ими, а также назначать разрешения пользователей для вашей облачной среды AWS. IAM позволяет создавать пользователей и группы и делать пользователей членами групп. Затем вы можете назначать разрешения группам (и, следовательно, пользователям) с помощью политик, чтобы контролировать уровень доступа, который пользователи могут иметь к различным видам ресурсов AWS. На первый взгляд, эта модель управления доступом пользователей к ресурсам похожа на знакомую службу Active Directory, используемую в средах Windows Server. Однако здесь мы говорим конкретно о пользователях, группах и ресурсах в облаке AWS, а не в среде Active Directory, будь то локально, на основе Azure или гибридной среде.

Лучший способ понять, как использовать IAM для управления доступом пользователей к ресурсам, — это рассмотреть пример, поэтому в этой и нескольких следующих статьях этой серии вы узнаете о различных шагах, связанных с настройкой типичной инфраструктуры IAM для вашей среды AWS. Но прежде чем мы начнем создавать пользователей и группы IAM, нам сначала нужно ознакомиться с функциями консоли IAM.

Использование IAM-консоли

Начните с входа в AWS, используя учетные данные Amazon AWS по умолчанию, которые вы создали при первой регистрации на уровне бесплатного пользования AWS (см. раздел «Начало работы с AWS, часть 1»). После входа в систему и открытия Консоли управления AWS щелкните элемент в строке меню, где отображается ваше имя пользователя Amazon или название компании (замыленный элемент на рисунке ниже), и выберите параметр «Учетные данные безопасности», как показано здесь:

Рис. 1. Доступ к странице «Учетные данные безопасности» в Консоли управления AWS.

Когда вы сделаете это, страница «Ваши учетные данные безопасности» будет отображаться серым цветом с наложенным на нее диалоговым окном, как показано ниже:

Рисунок 2: Диалоговое окно, отображаемое при первой попытке открыть страницу «Ваши учетные данные безопасности».

При выборе параметра «Продолжить учетные данные безопасности» диалоговое окно закрывается и открывается страница «Ваши учетные данные безопасности» для вашей среды AWS. На странице «Ваши учетные данные безопасности» вы можете:

  • Измените пароль для своей учетной записи Amazon AWS по умолчанию.
  • Активируйте многофакторную аутентификацию (MFA), чтобы повысить безопасность вашей среды AWS. При включенной MFA при попытке войти на веб-сайт AWS вам потребуется указать имя пользователя, пароль и код аутентификации с устройства AWS MFA.
  • Создайте новые ключи доступа, которые позволят вам подписывать запросы, которые вы отправляете с помощью интерфейса командной строки AWS (CLI), с помощью AWS SDK или прямых вызовов API.
  • Создайте новые пары ключей CloudFront, которые затем можно использовать в Amazon CloudFront для создания подписанных URL-адресов для запуска инстансов Amazon EC2 и доступа к ним.
  • Создайте новые цифровые сертификаты X.509, чтобы вы могли отправлять безопасные запросы протокола SOAP к сервисам AWS, которые поддерживают такие запросы, включая Amazon S3 и Amazon Mechanical Turk.
  • Просмотрите свой 12-значный идентификатор учетной записи, который используется для программной ссылки на вашу учетную запись и в некоторых других контекстах.
  • Просмотрите свой канонический идентификатор пользователя, который используется для настройки списков управления доступом (ACL) Amazon S3.

Мы узнаем больше о некоторых из указанных выше учетных данных безопасности в следующих статьях на этом сайте. Тем временем щелкните ссылку IAM Console в конце первого предложения на странице «Ваши учетные данные безопасности», показанной выше. Это приведет вас к странице «Добро пожаловать в управление идентификацией и доступом», показанной ниже:

Рис. 3. Страница «Добро пожаловать в систему управления идентификацией и доступом».

Приведенная выше страница консоли IAM также называется информационной панелью. В левой части панели навигации в разделе «Подробности» находятся ссылки для доступа к различным страницам, доступным в консоли IAM. Функции этих страниц следующие:

  • Группы — позволяет создавать группы и управлять ими, например, добавлять участников в группу.
  • Пользователи — позволяет создавать пользователей и управлять ими, например, изменять пароль для пользователя.
  • Роли — позволяет создавать роли и управлять ими, например, чтобы предоставить пользователю в одной учетной записи AWS доступ к ресурсам в другой учетной записи.
  • Поставщики удостоверений — позволяет создавать поставщиков удостоверений, которые позволяют управлять удостоверениями пользователей за пределами AWS и предоставлять им разрешения на использование ваших ресурсов AWS.
  • Политика паролей — позволяет настроить политику паролей, которая представляет собой набор правил, определяющих тип пароля, который может установить пользователь IAM.
  • Отчет об учетных данных — позволяет загрузить отчет, в котором перечислены все пользователи вашей учетной записи и состояние их различных учетных данных.
  • Ключи шифрования — позволяет получить доступ к сервису управления ключами AWS (KMS), управляемому сервису, который позволяет создавать и контролировать ключи шифрования, используемые для шифрования ваших данных.

Создание псевдонима для идентификатора вашей учетной записи

Вернувшись к рисунку 3 выше, вы можете увидеть ссылку для входа пользователей IAM вверху этого рисунка. Эта ссылка для входа имеет следующий вид:

https://<12-значный идентификатор вашей учетной записи>.signin.aws.amazon.com/console

Идентификатор учетной записи на этом рисунке размыт, так как важно сохранить его конфиденциальность. Вы можете создать псевдоним (понятное имя) для своего идентификатора учетной записи AWS, чтобы вам было проще запомнить URL-адрес для входа в AWS. Ваш псевдоним может быть названием вашей компании или другим описательным именем. Чтобы создать псевдоним для идентификатора вашей учетной записи, нажмите ссылку «Настроить» справа от идентификатора вашей учетной записи, как показано ранее на рисунке 3. Откроется диалоговое окно «Создать псевдоним учетной записи», как показано здесь:

Рис. 4. Как создать псевдоним для идентификатора вашей учетной записи AWS.

Заполните текстовое поле своим псевдонимом и нажмите Да Создать. Обратите внимание, что ваш псевдоним может содержать только строчные буквы, цифры и дефисы. После того, как вы создадите свой псевдоним, он будет отображаться в ссылке для входа пользователей IAM на панели инструментов IAM Console. Ваша ссылка для входа пользователей IAM теперь будет иметь следующую форму:

https://.signin.aws.amazon.com/console

Вот еще несколько замечаний относительно псевдонимов:

Вы можете создать только один псевдоним для своего идентификатора аккаунта AWS. Если вы попытаетесь создать второй псевдоним, ваш первый псевдоним будет перезаписан.

Если вы создали псевдоним и вам нужно снова узнать, какой у вас 12-значный идентификатор учетной записи, вы можете легко сделать это следующим образом:

  1. Откройте Консоль управления AWS.
  2. Нажмите «Поддержка» справа на панели инструментов.
  3. Нажмите Центр поддержки в раскрывающемся меню.
  4. Найдите номер своей учетной записи справа под панелью инструментов.

Вы также можете использовать интерфейс командной строки AWS для отображения, создания или удаления псевдонима из командной строки. Например, команда list-account-aliases отобразит любой псевдоним, связанный с идентификатором вашей учетной записи AWS.

Снова вернувшись к рисунку 3, мы видим, что изначально у нас нет пользователей, ноль групп, ноль ролей и ноль поставщиков удостоверений, настроенных для нашей среды уровня бесплатного пользования AWS. Под заголовком «Состояние безопасности» на этой странице мы видим пять задач, которые можно (или в идеале следует) выполнить, когда вы впервые используете IAM для защиты своей среды AWS. Первая из этих задач, удаление ключей доступа корневой учетной записи AWS, важна, поскольку эти ключи обеспечивают неограниченный доступ к вашим ресурсам AWS.

Как упоминалось ранее, ключи доступа используются для подписи любых запросов, которые вы делаете с помощью интерфейса командной строки или API. Поскольку ваша корневая учетная запись (учетная запись, которую вы использовали для регистрации в AWS) является всемогущей, любой, у кого есть ключи доступа к этой учетной записи, имеет неограниченный доступ ко всем вашим ресурсам AWS, а также к вашей платежной информации. Это означает, что если кто-то завладеет ключами доступа к вашей корневой учетной записи, он сможет получить контроль над вашей средой AWS и использовать ее в своих гнусных целях — и вы будете тем, кто получит за это счет!

Поэтому важно, чтобы вы не генерировали ключи доступа для своей учетной записи root. Если вы создали его, вы должны удалить его. К счастью, по умолчанию AWS не генерирует ключ доступа ни для каких новых учетных записей, включая вашу корневую учетную запись. Таким образом, первый элемент в разделе «Состояние безопасности» на рис. 3 немного вводит в заблуждение — ключи доступа вашей корневой учетной записи не были удалены, они просто не были созданы.

Вместо создания ключей доступа для своей учетной записи root вы должны создать хотя бы одного нового пользователя с помощью IAM, а затем предоставить этому пользователю необходимые разрешения, которые позволят вам использовать этого пользователя, а не учетную запись root, для администрирования вашей среды AWS. Мы увидим, как это сделать, в следующей статье нашей серии.

  • Начало работы с AWS (часть 2)
  • Начало работы с AWS (часть 3)
  • Начало работы с AWS (часть 4)
  • Начало работы с AWS (часть 6)
  • Начало работы с AWS (часть 7)
  • Начало работы с AWS (часть 10)
  • Начало работы с AWS (часть 11)
  • Начало работы с AWS (часть 12)
  • Начало работы с AWS (часть 13)
  • Начало работы с AWS (часть 14)